MyRepublic數(shù)據(jù)泄露引發(fā)眾多問(wèn)題

來(lái)源：GDCA數(shù)安時(shí)代 發(fā)布時(shí)間：2021-10-22瀏覽：2946次

近日，MyRepublic互聯(lián)網(wǎng)服務(wù)供應(yīng)商和移動(dòng)供應(yīng)商表示，發(fā)生了一起未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)事件。有近79,400名MyRepublic移動(dòng)用戶(hù)在此次數(shù)據(jù)泄露事件中受到了影響，目前該公司已對(duì)外證實(shí)，此次事件泄露了大量的個(gè)人信息。
該運(yùn)營(yíng)商也承認(rèn)，受影響的數(shù)據(jù)還包括了各種形式的身份證明。泄露的數(shù)據(jù)包括：
?新加坡公民、永久居民和就業(yè)及受撫養(yǎng)人證持有人：泄露了國(guó)家登記身份證（NRIC）的正反面掃描件，這是頒發(fā)給新加坡公民和永久居民的強(qiáng)制性身份文件。NRIC包括姓名、照片、出生日期、地址、原籍國(guó)、種族和性別。
?外國(guó)居民：泄露了住宅地址證明文件，如水電費(fèi)賬單的掃描件；
?移植現(xiàn)有移動(dòng)服務(wù)的客戶(hù)：泄露了姓名和手機(jī)號(hào)碼。
MyRepublic表示，賬戶(hù)號(hào)碼和支付信息并沒(méi)有受到影響，該公司的內(nèi)部基礎(chǔ)設(shè)施也沒(méi)有受到影響。

數(shù)據(jù)現(xiàn)在已經(jīng)有了安全保障
MyRepublic官方對(duì)外宣稱(chēng)，目前這一事件已經(jīng)得到了有效控制，已經(jīng)將未經(jīng)授權(quán)進(jìn)入數(shù)據(jù)存儲(chǔ)設(shè)施的漏洞進(jìn)行了修補(bǔ)。該公司補(bǔ)充說(shuō)，為幫助查清這次攻擊的真相，它已經(jīng)和新加坡信息通信媒體發(fā)展局以及個(gè)人數(shù)據(jù)保護(hù)委員會(huì)取得了聯(lián)系，同時(shí)也邀請(qǐng)了新加坡的畢馬威會(huì)計(jì)師事務(wù)所 和 MyRepublic的內(nèi)部IT和網(wǎng)絡(luò)團(tuán)隊(duì)密切合作，盡快解決這次事件。
MyRepublic官方認(rèn)為，客戶(hù)的隱私和安全對(duì)MyRepublic來(lái)說(shuō)極其重要。和你一樣，我們對(duì)所發(fā)生的事情感到很失望，我個(gè)人對(duì)您造成的任何不便表示歉意。我和我的團(tuán)隊(duì)已經(jīng)與有關(guān)當(dāng)局和專(zhuān)家顧問(wèn)進(jìn)行了密切合作，確保能及時(shí)控制這一事件，我們將繼續(xù)支持幫助遭受影響的每一位客戶(hù)，幫助他們解決這一問(wèn)題。

企業(yè)基本網(wǎng)絡(luò)保障亟需完善
某匿名安全研究人員稱(chēng)，他對(duì)該公司是如何做數(shù)據(jù)保護(hù)的有一些疑問(wèn)。由于該公司基本的保密性、完整性和可用性（CIA）原則被忽視，導(dǎo)致了這樣的數(shù)據(jù)泄露事件發(fā)生。雖然這一事件被報(bào)告為未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)，但是這已經(jīng)很?chē)?yán)重了，這背后很可能還隱藏著一個(gè)更嚴(yán)重的系統(tǒng)性問(wèn)題，即公司對(duì)這種關(guān)鍵數(shù)據(jù)的安全保護(hù)措施。
當(dāng)涉及到將數(shù)據(jù)保存在第三方基礎(chǔ)設(shè)施中時(shí)，我們應(yīng)該考慮更多的是數(shù)據(jù)安全防護(hù)機(jī)制。
盡管這一事件目前正在進(jìn)行調(diào)查中，但像這樣的數(shù)據(jù)泄露事件反而更加凸顯了一種非常不祥的趨勢(shì)。
目前有51%的企業(yè)經(jīng)歷過(guò)由威脅者、合作伙伴或供應(yīng)商的基礎(chǔ)設(shè)施所造成的數(shù)據(jù)泄露，最著名的事件是Accellion、奧迪和大眾汽車(chē)等公司造成的泄露問(wèn)題。造成這種趨勢(shì)的最大原因是，企業(yè)更多關(guān)注的是數(shù)據(jù)泄露后該如何處置，而不是在數(shù)據(jù)泄露前如何來(lái)防范各種風(fēng)險(xiǎn)，如資產(chǎn)、漏洞和威脅管理等方式。在第三方機(jī)構(gòu)進(jìn)行敏感數(shù)據(jù)的存儲(chǔ)、處理和傳輸?shù)慕M織需要通過(guò)與云廠商之間簽署合同協(xié)議來(lái)確保安全。
供應(yīng)商和合作伙伴需要證明他們已經(jīng)采用了風(fēng)險(xiǎn)管理機(jī)制和適當(dāng)?shù)募夹g(shù)來(lái)保護(hù)個(gè)人身份信息，如登記身份證信息。如果沒(méi)有這些，最終的財(cái)務(wù)損失、訴訟和違規(guī)處罰的成本遠(yuǎn)遠(yuǎn)大于在安全方面所做的投資。
企業(yè)基本網(wǎng)絡(luò)保障
做好網(wǎng)絡(luò)保障保護(hù)數(shù)據(jù)安全？
1，企業(yè)應(yīng)為網(wǎng)站部署SSL證書(shū)。為了避免用戶(hù)誤入釣魚(yú)網(wǎng)站的陷阱，企業(yè)網(wǎng)站可以申請(qǐng) OV SSL證書(shū)或者 EV SSL證書(shū)，驗(yàn)證企業(yè)的真實(shí)身份，讓用戶(hù)能夠判斷出企業(yè)的真實(shí)性，讓釣魚(yú)網(wǎng)站無(wú)處遁形。
2，企業(yè)應(yīng)為軟件申請(qǐng)代碼簽名證書(shū)進(jìn)行代碼簽名。經(jīng)過(guò)代碼簽名后的軟件可以展示軟件開(kāi)發(fā)者的真實(shí)身份，同時(shí)可以證明軟件代碼的完整性，證明軟件在傳輸過(guò)程中沒(méi)有被篡改或植入病毒。
3，企業(yè)應(yīng)為員工工作郵箱部署郵件簽名證書(shū)。對(duì)郵件進(jìn)行數(shù)字簽名并加密傳輸，一是可以保證郵件發(fā)送者身份的真實(shí)性，二是保證了郵件在傳輸?shù)倪^(guò)程中不被他人閱讀和篡改，由郵件接受者進(jìn)行驗(yàn)證，可以確保電子郵件的完整性。

當(dāng)然，保證個(gè)人信息安全是一個(gè)需要長(zhǎng)期堅(jiān)持的重要任務(wù)，需要根據(jù)各方面技術(shù)的發(fā)展以及個(gè)體和社會(huì)數(shù)據(jù)安全的狀態(tài)，及時(shí)做出有針對(duì)性的調(diào)整。
因此，各相關(guān)方要有足夠清醒的認(rèn)識(shí)。同時(shí)需要明確的是，堅(jiān)持這個(gè)長(zhǎng)期工作的根本目的，是持續(xù)促進(jìn)經(jīng)濟(jì)、社會(huì)的健康發(fā)展和國(guó)家安全基石穩(wěn)固的基礎(chǔ)。在這個(gè)過(guò)程中，諸多相關(guān)產(chǎn)業(yè)的發(fā)展、壯大，才能得到基礎(chǔ)性保障。